データ管理とセキュリティ

ICT力

目的

データ分析環境を整備するために必要なデータ管理とセキュリティの機能について解説し、適切なデータ管理のあり方を理解する

目標

データ分析のプロセスに応じたデータ管理の機能を説明することができる

ビッグデータの分析で配慮すべきセキュリティの課題を説明することができる

前提

データ分析結果の意思決定支援ツールの特徴を理解していること

関連教科：解析力

関連科目：「データ分析手法とツール」、「データ分析結果の図解手法」

情報セキュリティの重要性を理解していること

クラウドコンピューティング環境のアウトソース時の留意点に関する理解をしていること

目次

1. データ管理

2. ビッグデータとセキュリティ

目標

1. データ管理

データを蓄積・保存する技術の概要を理解し、データ保存環境の形態（自社所有・アウトソース）を選定することができる

1. データ管理

1.1. データ管理の目的と範囲

1.2. データ収集でのクレンジング

1.3. データの統合

1.4. データの蓄積・保存手段の概要

1.5. NoSQLとRDBMSとの主な違い

1.6. データモデリングによる蓄積の最適化

1.1. データ管理の目的と範囲

広義のデータ管理データ管理とは

「データと情報資産の価値を獲得し、統制し、保護し、提供し、向上させるために、ポリシー、実践、およびプロジェクトについて計画し、実行し、管理する活動」であると定義している

引用：DAMA-DMBOKガイド(2010年)

（参考）10のデータ管理機能

1.2. データ収集でのクレンジング

クレンジングが必要な例(書式の不適合・表記ゆれ)

DB

DB

顧客名 株式会社エービーシー

【クレンジング結果】

同じ会社？

顧客名 株式会社エービーシー

顧客名 株式会社エー・ビー・シー

1.3. データの統合

データ分析環境の全体像

ETLツール

BIツール

従来は構造化データを主に扱っていたが、非構造化データへの対応も進んでいる

1.4. データの蓄積・保存手段の概要

データ分析環境の全体像

ETLツール

BIツール

1.5. NoSQLとRDBMSとの主な違い

NoSQL RDBMS

保存に適するデータ

非構造化データ 構造化データ

スキーマ定義 事前定義不要柔軟に変更可能

事前定義が必要固定的で変更しにくい

データの一貫性 一時的に一貫性が厳密に維持されていない状態もある（ BASE原理 ）

一貫性を厳密に維持する（ ACID特性 ）

拡張方式 スケールアウトにより大容量データでもパフォーマンス低下が少ない

スケールアップが基本。一貫性維持のためパフォーマンス低下の可能性がある

耐障害性 単一障害点（SPOF)がないものが多く、低コスト

耐障害性を高めるため高コスト

○

× ○

×

○ ×

○ ×

使い分け/組み合わせが重要

1.6. データモデリングによる蓄積の最適化

データと処理の流れや関係を図式化すること

データモデル

• 伝達• 形式化• スコープ

情報処理システム作成の手助け

データの流れが一目で分かり、ビジネス間での意思共有ができる

概念設計

論理設計

物理設計

概念モデル

論理モデル

物理モデル

データを効率的に蓄積・保存・管理するために、データの流れと業務との関係性を可視化し、整理することが重要。

（参考） データモデリングによる蓄積の最適化

データモデルの目的

データモデルは習熟度や経験が異なる相手にもデータを理解してもらうための架け橋となる。ビジネス分野、現在保有しているアプリケーション、既存の構造に変更を加えた場合の影響、についての理解をデータモデルは助ける。データモデルはビジネスや技術に携わる新人教育にも役立つ。

伝達

データモデルには、データへの要求およびデータにまつわるビジネスルールに関する、唯一かつ正確な定義が記録されている。

形式化

データモデルは購入したアプリケーションパッケージについて、データのコンテクストやスコープを説明する際に役立つ。

スコープ

1.6.1. データモデルの種類

データモデリングで用いられるモデルの種類

抽象度 種類対応するフェーズ

概要

高

低

概念データモデル

要件定義

業務の特性（業務名、関係者と関係性、業務におけるアクション、使用するデータなど）を表現する。データは大まかなデータ項目のみ検討され、保存手段については考慮しない。

論理データモデル

外部設計

特定のデータベースや製品に依存しない形で、業務におけるデータの要件や関係性を表現する。データの正規化はここで検討する。

物理データモデル

内部設計

技術上の制約事項、性能要件などを考慮して、データがどのように物理メディアに保存されるかを表現する。

1.6.2. データ表現技法の例

目標

2. ビッグデータとセキュリティ

ビッグデータの利活用をとりまくセキュリティの要求を説明することができる

ビッグデータの利活用が期待されるセキュリティ対策技術を説明することができる

2. ビッグデータとセキュリティ

2.1. データセキュリティ管理

2.2. 個人情報とプライバシー

2.3. 個人情報保護とデータ利活用の動向

2.4. データ保護技術

2.5. アクセス制御と管理

2.6. ビッグデータを活用したセキュリティ対策の事例

2.1. データセキュリティ管理

データセキュリティ管理とは

「データ資産や情報資産に関する認証や権限付与、アクセス、監査が適切な形で行われるよう、セキュリティポリシーや手続きの計画、策定、実行をすること」であり、その目的は、「プライバシーや守秘義務に関する規制とビジネス上の要求に沿う形で情報資産を守ることである」としている

引用：DAMA-DMBOKガイド(2010年)

技術

人・組織

物理

脅威

2.2. 個人情報とプライバシー

個人情報とプライバシーの定義

個人情報とプライバシーの具体例

関連する法令・ガイドライン

2.2. 個人情報とプライバシー

個人情報とプライバシーの定義

パーソナルデータの利活用に関して

個人情報とプライバシーの具体例

関連する法令・ガイドライン

2.2.1 個人情報とプライバシーの定義

出典：新保史生 「プライバシーの権利」 山本順一編『憲法入門』勉誠出版（2003）

法令等に基づいて公開される場

合がある

個人の自律

領域

公の場公知

氏名 性別住所 生年月日

非公知

社会生活上必要に応じて取得される場合がある

非公知

資格 職業所得 健康状態学歴 趣味

本人同意に基づかなければ通常は取り扱われる

ことはない

機微

思想信条 宗教性癖 労組等

加入事実

位置情報

個人情報

私生活

プライバシー

2.2.2 パーソナルデータの利活用に関して

• パーソナルデータに関する検討会 2013年9月～

専門機関の設置

グレーゾーンの解消 規制の緩和

日本のプライバシー保護制度を国際的標準に合わせる

個人を特定しにくくしたデータを他社に渡して活用できるように

技術進化に伴って拡大したグレーゾーンの解消

2.2.3 個人情報とプライバシーの具体例

個人情報に該当する事例

事例１）本人の氏名事例２）生年月日、連絡先（住所・居所・電話番号・メールアドレス）、会社における職位または所属に関する情報について、それらと本人の氏名を組み合わせた情報事例３）防犯カメラに記録された情報等本人が判別できる映像情報事例４）特定の個人を識別できるメールアドレス情報(keizai_ichiro@meti.go.jp 等のようにメールアドレスだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)事例５）特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報

個人情報に該当しない事例

事例１）企業の財務情報等、法人等の団体そのものに関する情報（団体情報）事例２）記号や数字等の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス情報(例えば、abc012345@xyzisp.jp。ただし、他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となる。)事例３）特定の個人を識別することができない統計情報

出典：経済産業省, 2009年, 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

2.2.4 考えてみましょう

以下はプライバシー情報といえるでしょうか？入院した病院名

日記

支持する政党

交通機関の乗車履歴

2012年

2003年

1995年

2.2.5 関連する法令・ガイドライン

1980年

OECD（34加盟国）「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」（OECDプライバシーガイドライン）８原則：①目的明確化の原則、②利用制限の原則、③収集制限の原則、 ④データ内容の原則、⑤安全保護の原則、 ⑥公開の原則、⑦個人参加の原則、 ⑧責任の原則

EU（28構成国）EUデータ保護指令EUおよび英国においてPersonal Dataに関して十分なデータ保護レベルを確保していない第三国へのデータの移動を禁止する

日本「個人情報保護法」個人情報を扱う事業者に対して、個人情報を適切に取り扱うよう求める

米国「消費者プライバシー権利章典」7つの権利：①個人によるコントロール、②透明性、③データ提供経緯の尊重、④安全性、⑤アクセスと正確性、⑥対象を絞った収集、⑦説明責任

2.2.6 確認テスト

個人情報保護法

プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告

消費者プライバシー権利章典

EUデータ保護指令

米国7つの権利：①個人によるコントロール、②透明性、③データ提供経緯の尊重、④安全性、⑤アクセスと正確性、⑥対象を絞った収集、⑦説明責任

日本個人情報を扱う事業者に対して、個人情報を適切に取り扱うよう求める

EU（28構成国）EUおよび英国においてPersonal Dataに関して十分なデータ保護レベルを確保していない第三国へのデータの移動を禁止する

OECD（34加盟国）８原則：①目的明確化の原則、②利用制限の原則、③収集制限の原則、 ④データ内容の原則、⑤安全保護の原則、 ⑥公開の原則、⑦個人参加の原則、⑧責任の原則

2.3. 個人情報保護とデータ利活用の動向

オプトインとオプトアウト

プライバシー・バイ・デザイン

活用事例

オプトアウト

オプトイン

2.3.1 オプトインとオプトアウト

メールの例

顧客

OK

店舗

送っていい？

NO！

…

店舗 顧客

2.3.2 プライバシー・バイ・デザイン

プライバシー・バイ・デザインとはプライバシー情報を扱う＜あらゆる側面＞において、プライバシー情報が適切に取り扱われる環境を＜あらかじめ＞作りこもうという＜コンセプト＞

引用：堀部政男/JIPDEC,2012年,プライバシー・バイ・デザイン

事後ではなく、事前（データ分析を計画する段階）からプライバシーに配慮することが重要

2.3.3 活用事例

ソニーの電子お薬手帳サービス

出典： 日経コンピュータ 2013年 10月17日号先行5社の「プライバシー通信簿」P.37

統計レポート

自治体、製薬会社などに提供

薬局

ソニー

利用者のFeLicaカード

共通ID氏名性別生年月日

―氏名性別生年月日住所薬歴情報（全薬局）

共通ID――――薬歴情報（全薬局）

2.3.4 確認テスト

以下の文章の空欄を埋めてください。

個人情報の第三者提供を行う際、本人の同意を得る方式として、主なものに2つあります。

1. （ ）・・・事前承認2. （ ）・・・事後承諾

2.4. データ保護技術

暗号化技術

匿名化技術

2.4.1. 暗号化技術

暗号化

復号

共通鍵暗号方式

公開鍵暗号方式暗号化鍵（公開鍵）

復号鍵（秘密鍵）

暗号化

復号

2.4.2 匿名化技術(1/2)

単純匿名化の例

ID 匿名ID 都道府県 電話番号 性別 身長 体重 ・・・

１

6dsfkoiar0e987t895745・・・

沖縄県090-1234-5678

女 １５９ ５６ ・・・

２

Grfer09324732dfgledr9・・・

神奈川県090-1234-1234 男 １７２ ７３ ・・・

３

Tgokg92342krfgd93675・・・

岩手県090-8765-4321

女 １６０ ４７ ・・・

・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

仮名化 一般化 切り落とし

2.4.2 匿名化技術(2/2)

k－匿名性・・・同じような属性を持った人が、必ず k 人以上存在する状態のこと

年齢 性別 趣味

２２ 男 ドラマ

３５ 女 漫画

２４ 男 アニメ

３９ 女 小説

７ 男 野球

３７ 女 小説

２８ 男 ドラマ

１７ 男 サッカー

１３ 男 バスケ

年齢 性別 趣味

２０代 男 TV鑑賞

２０代 男 TV鑑賞

２０代 男 TV鑑賞

３０代 女 読書

３０代 女 読書

３０代 女 読書

未成年 男 スポーツ

未成年 男 スポーツ

未成年 男 スポーツ

k-匿名化

k-匿名性( k = 3 )を

満たした状態

2.5. アクセス制御と管理

利用者Aさん

DB

アクセス制御方式

任意アクセス制御（DAC:Discretionary Access Control） 強制アクセス制御（MAC:Mandatory Access Control） ロールベースアクセス制御（RBAC:Role-Based Access Control）

ツール/アプリケーションなど

デバイス

データアクセス制御の流れ

確かにAさんだ

Aさんは更新可能

AさんがX時X分にXを更新した・・・

認証

認可(権限付与)

監査

2.5.1 認証（1/2)

統合ID管理の概要

社員情報

人事システムなど ・ID情報の登録/変更/削除・アクセスログの監査

情報提供

マスターデータ 統合ID管理システム 様々なシステム

ID情報

ID情報

ID情報

ログ

各システムは、統合ID管理システムのID情報を参照/コピーするなどの方法がある

SAML認証を用いたID連携の概要

2.5.1 認証（2/2)

認証DB

ユーザAさん

信頼関係

サービスプロバイダにログインすることなくサービスを利用可能

認証結果情報送信

認証情報入力

利用可能

2.5.2 認可（権限付与）

ACL（アクセスコントロールリスト）の例

製品DB

Aさん 読み取り ○許可

Aさん 書き込み ×拒否

Bさん 読み取り ○許可

Bさん 書き込み ○許可利用者A

利用者B

分析DB

Aさん 読み取り ×拒否

Aさん 書き込み ×拒否

Bさん 読み取り ○許可

Bさん 書き込み ○許可

(参考) アクセス制御方式（1/3）

任意アクセス制御（DAC:Discretionary Access Control）

オブジェクト（ファイルなど）の所有者が、メンバーの属性ごとに権限を設定

d r w x r - x r - -

ディレクトリ オーナー グループ その他

対象のオブジェクトはディレクトリ オーナー（所有者）は読み取り、書き込み、

実行が可能 グループは読み取り、実行が可能 その他（Everyone）は読み取りのみ可能

r : 読み取り（Read）

w : 書き込み（Write）

x : 実行（eXecute）

強制アクセス制御（MAC:Mandatory Access Control）

(参考) アクセス制御方式（2/3）

操作主体と操作対象それぞれにセキュリティ・レベルを段階分けして、その段階を比較することで強制的にアクセス権限を決定する方式

操作主体のレベル ≧ 操作対象のレベル : 読み取りが許可操作主体のレベル ≦ 操作対象のレベル : 書き込みが許可

利用者Aレベル２

ファイルＸレベル１

ファイルＹレベル２

ファイルＺレベル３

読み取りのみ可能

書き込みのみ可能

読み取りと書き込み両方が可能

ロールベースアクセス制御（RBAC:Role-Based Access Control）

(参考) アクセス制御方式（3/3）

ロール（役割）に基づいてオブジェクトへのアクセスを制御

ロール：あるオブジェクトに対してアクセスを許すグループ

オブジェクト

ロール１

ロール２

ロール 権限

ロール１ 読み取り

ロール２ 読み取りと書き込み

ロール３ フルコントロール

記述のないユーザーはアクセス不可どのロールにも属さない

アクセスチェック

2.5.3 監査

監査証跡・・・ 情報システムの処理の内容やプロセスを、追跡するために時系列に沿って保存された記録

監査ログ

信頼性、安全性、効率性、有効性などを実証

「監査証跡のためログ」

OS、データベース、業務アプリケーションなどの各種システムのログファイル

いつ 誰が 何をしたか ・ ・ ・

事件発生時の事実確認

コンプライアンス要件

異常検知

ビジネス操作の監視

客観的な証拠

2.6. ビッグデータを活用したセキュリティ対策

活用例

各種ログ情報

分析ツール

異常検知

3. まとめ

データ管理（収集・蓄積）

ビッグデータとセキュリティ

4. 発展学習への誘い

参考文献 DAMA International, 2008年, DAMA-DMBOK機能フレームワーク

IPA,2005年,アクセス制御に関するセキュリティポリシーモデルの調査報告書http://www.ipa.go.jp/security/fy16/reports/access_control/policy_model.html （2013年3月21日アクセス）

経済産業省, 2009年, 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（平成21年10月9日厚生労働省・経済産業書告示第2号）

情報大航海プロジェクト, 2010年, パーソナル情報の利用ガイドライン（案）＜利用の在り方に関する提言＞

総務省,2008年,インターネットと匿名性http://www.soumu.go.jp/iicp/chousakenkyu/seika/houkoku.html

総務省, 2011年, 匿名データの作成・提供に係るガイドラインhttp://www.stat.go.jp/index/seido/houki.htm（2013年3月21日アクセス）

日本クラウドセキュリティアライアンス, ASP-SaaSインダストリ・コンソーシアム, 2011年, 解説クラウド・セキュリティ・ガイダンス

5. その他

用語

用語 解説

バランススコアカード 企業や組織のビジョンと戦略を、4つの視点を用いて、経営戦略立案・実行評価を行うフレームワーク。またはこのフレームワークで利用される達成目標と評価指標を記載したカードのこと。

コンテクスト 「文脈」という意味、状況、与えられた条件などを指す。

スコープ 参照できる範囲（有効範囲）。

2.2.3 考えてみましょう（解答例）

以下はプライバシー情報といえるでしょうか？入院した病院名

日記

支持する政党

交通機関の乗車履歴

2.2.5 確認テスト（解答例）

米国7つの権利：①個人によるコントロール、②透明性、③データ提供経緯の尊重、④安全性、⑤アクセスと正確性、⑥対象を絞った収集、⑦説明責任

日本個人情報を扱う事業者に対して、個人情報を適切に取り扱うよう求める

EU（28構成国）EUおよび英国においてPersonal Dataに関して十分なデータ保護レベルを確保していない第三国へのデータの移動を禁止する

OECD（34加盟国）８原則：①目的明確化の原則、②利用制限の原則、③収集制限の原則、 ④データ内容の原則、⑤安全保護の原則、 ⑥公開の原則、⑦個人参加の原則、⑧責任の原則

個人情報保護法

プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告

消費者プライバシー権利章典

EUデータ保護指令

2.3.4 確認テスト（解答例）

以下の文章の空欄を埋めてください。

個人情報の第三者提供を行う際、本人の同意を得る方式として、主なものに2つあります。

1. （ オプトイン ）・・・事前承認2. （ オプトアウト ）・・・事後承諾

参考文献

Copyright (c) 2014 Ministry of Internal Affairs and Communications All Rights Reserved

このテキスト（又はカリキュラム）は、総務省の『高度ICT利活用テキスト（実践編データ管理とセキュリティ）』に改変を加えたものです。

引用：DAMA-DMBOKガイド(2010年)

出典：新保史生 「プライバシーの権利」 山本順一編『憲法入門』勉誠出版（2003）

出典：経済産業省, 2009年, 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

引用：堀部政男/JIPDEC,2012年,プライバシー・バイ・デザイン

出典：日経コンピュータ 2013年 10月17日号先行5社の「プライバシー通信簿」P.37